首页
论坛
课程
问答
CTF
CTF竞赛
题库
看雪峰会
招聘
发现
企服
众测
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
论坛
课程
招聘
发现
问答
企服
专栏
CTF
众测
排行榜
知识库
工具下载
看雪峰会
看雪20年
看雪商城
证书查询
看雪论坛
二进制漏洞
发新帖
5
4
[原创]CVE-2017-11882分析调试
2018-11-13 22:04
6081
[原创]CVE-2017-11882分析调试
从黎明到衰落
1
2018-11-13 22:04
6081
环境:win7sp3, office2007
工具:winDbg, IDA
漏洞成因:
该漏洞出现在模块EQNEDT32.EXE中, 该模块为windows的公式编辑器, 该模块以OLE技术(对象链接与嵌入)将公式嵌入在office文档内.
模块路径: C:\Program Files\Common Files\microsoft shared\EQUATION
EQNEDT32.EXE在插入和编辑是会以
独立进程
的形式存在. 导致了系统对于office和Excel的保护机制, 无法有效的阻止EQNEDT32.EXE这个进程被利用.
开始分析:
0x00
1.通过process explorer查看进程树看expolite弹出的计算器的父进程是谁
发现是EQNEDT32.EXE这个模块
2.因为漏洞是出现在EQNEDT32.EXE里面, 所以我们可以先将其调试器修改为winDbg, 这样在加载这个模块的时候就会被附加到winDbg窗口.
注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS
3.因为弹出计算器的时候创建了新的进程,所以我们可以认为新的进程是由WinExec或者CreatProcess创建的。
4.下bp断点kernel32!WinExec和CreateProcess, 然后 ‘g’
5.分析WiinExec的参数和返回地址
看到通过cmd的方式调用了calc
6.再继续栈回溯看是哪个函数调用的WinExec
7.查看函数栈, 从函数返回地址继续往上栈回溯
8.这个时候需要用winDbg对这些函数下断点跟进, 看是哪个函数触发了计算器
9.发现是sub_41160F函数弹出了计算器
0x01
1.重新运行exploit, 用winDbg运行到41160F处查看堆栈内容
2.用IDA静态分析一下这个函数的指令
3.本函数的参数
用WinDbg单步执行完4111658这条指令查看函数返回地址是否被覆盖了
第一次分析CVE有什么错误的地方请大家指正,我回头会修改
[公告]春风十里不如你,看雪团队诚邀你的加入!
收藏
・
5
点赞
・
4
打赏
分享
分享到微信
分享到QQ
分享到微博
打赏
+ 1.00
junkboy
打赏次数
1
金额
+ 1.00
junkboy
+1.00
2018/11/14
赞赏
×
1 元
2 元
5 元
10 元
20 元
50 元
100 元
200 元
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
3
)
icesnowwise
雪 币:
2113
活跃值:
(273)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
82
粉丝
0
关注
私信
icesnowwise
2018-11-14 23:55
2
楼
1
大佬牛逼,理解起来有点困难,毕竟我逆向太菜
古往今来
雪 币:
251
活跃值:
(19)
能力值:
( LV6,RANK:90 )
在线值:
发帖
6
回帖
68
粉丝
0
关注
私信
古往今来
2019-9-3 11:18
3
楼
0
为什么不提供分析文件。
不懂就不懂
雪 币:
215
活跃值:
(2255)
能力值:
( LV7,RANK:110 )
在线值:
发帖
7
回帖
37
粉丝
17
关注
私信
不懂就不懂
2
2019-11-22 10:45
4
楼
0
真。。。贴图分析法。。。
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
从黎明到衰落
1
5
发帖
28
回帖
45
RANK
关注
私信
他的文章
[原创]CVE-2017-11882分析调试
6082
[原创][分享]CVE-2012-0158分析调试
1761
[原创]新版010Edit注册机&去除网络验证
9576
关于我们
联系我们
企业服务
看雪学院公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区